Quelle: Eigene Darstellung
Um von überall auf sicherem, verschlüsseltem Wege auf das RWTH-Netz zugreifen zu können, können die Hochschuleinrichtungen der RWTH Aachen University bei Bedarf einem eingeschränkten Personenkreis Zugriff auf eine VPN-Instanz zur Verfügung stellen. So erhalten Nutzende einen gesicherten Zugriff auf ihre Ressourcen an ihrer Einrichtung. Im Rahmen der Einführung der Multifaktor-Authentifizierung an der RWTH sind die Sicherheitsanforderungen an diese VPN-Instanzen gestiegen.
Zur Verwaltung und Freigabe des VPN-Zugriffs gibt es verschiedene Möglichkeiten, die wir euch im folgenden Blogbeitrag vorstellen möchten.
Instituts-VPN auf dedizierter Hardware
Bei dieser Variante ist eine dedizierte Hardware notwendig, sprich eine Hardware, die ausschließlich für den sicheren VPN-Zugriff einer bestimmten Einrichtung konfiguriert ist. Diese muss von der Einrichtung selbst über das IT Center beschafft werden. Welches Gerät für die jeweilige Einrichtung infrage kommt, wird gemeinsam mit dem IT Center in einem Beratungsgespräch festgelegt.
Nach der initialen Konfiguration des physischen VPN-Geräts durch das IT Center werden die Zugänge zu den VPNs von den Administrierenden der Einrichtung selbst verwaltet. Bei Bedarf können sie den Mitarbeitenden und Studierenden ihrer Einrichtung den Zugriff auf die VPN-Instanz freischalten. Zusätzlich können sie den Zugriff auf Ressourcen innerhalb des Instituts per Firewall beziehungsweise durch dedizierte VPN-Gruppen reglementieren.
Instituts-VPN auf zentralisierter IT Center Hardware
Eine weitere Variante ist der Betrieb des Instituts-VPNs auf zentralisierter IT Center Hardware. Anders als bei der ersten Variante gibt es in diesem Fall kein physisches Gerät in der Einrichtung. Um diese VPN-Instanzen nutzen zu können, stellt das IT Center, bezogen auf die Größe der gemeinsamen Nutzung, eine virtuelle und deutlich effizientere Instanz auf redundanter Hardware zur Verfügung. Mit der redundanten Hardware gibt es mehrere Hardwarekomponenten, die im Falle eines Ausfalls einspringen können, um die Verfügbarkeit und Zuverlässigkeit zu erhöhen.
Die virtuellen Instanzen sind gegeneinander isoliert. Dadurch wird jede virtuelle Instanz in einer separaten, unabhängigen Umgebung betrieben. Diese Isolation stellt sicher, dass eine Instanz keine Auswirkungen auf eine andere hat und gewährleistet dadurch ein hohes Sicherheitsniveau. Den VPN-Nutzenden wird bei der Einwahl nur der jeweils relevante Kontext angezeigt. Sie erhalten damit Zugriff auf die spezifischen Ressourcen und Informationen, die für sie relevant und autorisiert sind. Somit ist die Bedienung genauso einfach wie bei der Einwahl auf ein VPN-Gerät, welches auf dedizierter Hardware läuft.
Erweiterte Sicherheitsmaßnahmen oder eine Site-2-Site Konfiguration, die eine verschlüsselte Tunnelverbindung zwischen verschiedenen Standorten (beispielsweise Institut im RWTH-Netz und Außenstellen) herstellt, sind aus technischen Gründen nicht mehr möglich.
Falls ihr eine Beratung zur zentralen Instanz oder alle anderen VPNs in Anspruch nehmen möchtet oder einfach nur Rückfragen habt, könnt ihr euch an das IT-ServiceDesk (servicedesk@itc.rwth-aachen.de) wenden.
Weitere Informationen zu den VPN-Modulen findet ihr auf IT Center Help.
Verantwortlich für die Inhalte dieses Beitrags sind Corinna Hausberg und Benedikt Paffen.
Schreibe einen Kommentar